Отчет Nozomi Networks охватывает ландшафт угроз и уязвимостей за вторую половину 2023 года

Введение отчета Nozomi Networks по безопасности OT и IoT за февраль 2024 года подчеркивает возрастающие риски безопасности промышленных и критически важных инфраструктур. Отмечается, что участники угроз увеличивают частоту своих атак, совершенствуя тактики и находя новые точки доступа. При этом атаки, направленные на управление и уничтожение, становятся все более обыденными, хотя атаки с использованием программ-вымогателей остаются на высоком уровне.

Отчет указывает на глобальный характер угрозы, ссылаясь на данные Microsoft о том, что в прошлом году кибератакам подверглись 120 стран, более 40% из которых были направлены против критически важной инфраструктуры. Директор ФБР Кристофер Рэй предупредил Конгресс о том, что китайские хакеры готовятся нанести реальный ущерб американской критически важной инфраструктуре, подчеркивая необходимость обращения внимания на этот риск.

Отчет базируется на данных о уязвимостях ICS, опубликованных Агентством по кибербезопасности и инфраструктурной безопасности США (CISA), а также на телеметрических данных, полученных от программного обеспечения Nozomi Networks для мониторинга и обнаружения в сетях предприятий и операционных технологий. В дополнение к этому, в отчете описаны результаты, полученные от развертываний распределенных ловушек Nozomi Networks Labs, отслеживающих и анализирующих последние тенденции в злоупотреблениях и злоупотреблениях с использованием технологий IoT.

Ландшафт уязвимостей (Июль 2023 – Декабрь 2023)

1. Общие данные по уязвимостям:
   • В период с 1 июля по 21 декабря 2023 года Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) опубликовало 196 новых предупреждений об уязвимостях ICS (Промышленные системы управления).
   • Эти предупреждения касаются 885 старых и новых уязвимостей, затрагивающих продукты 74 различных производителей.
   • Относительно первой половины 2023 года, количество сообщений о CVE (Common Vulnerabilities and Exposures) увеличилось на 38%, а количество упоминаний производителей — на 19%​​.
2. Сектор критического производства:
   • Сектор критического производства возглавил список отраслей с наибольшим числом уязвимостей. Число сообщений о CVE в этом секторе достигло 621.
   • Это представляет собой тревожное увеличение на 230% по сравнению с предыдущим отчетным периодом.
   • Этот резкий рост числа сообщенных уязвимостей подчеркивает серьезные вызовы, с которыми сталкивается этот сектор на пути цифровизации. Существует неотложная необходимость для производителей критических товаров инвестировать в надежные меры кибербезопасности​​.
3. Классификация общих слабостей (CWE):
   • Классификация CWE (Common Weakness Enumeration) категоризирует типы уязвимостей, что позволяет разработчикам сосредоточиться на основных причинах этих уязвимостей и устранять их, чтобы создавать более безопасные продукты.
   • В предыдущем отчете самой распространенной категорией CWE была “USE AFTER FREE”, что было удивительно, учитывая сложность обнаружения такого типа уязвимостей.
   • В этот раз “USE AFTER FREE” опустилась на четвертое место, уступив место “OUT-OF-BOUNDS WRITE” и “READ”, которые являются подкатегориями “IMPROPER RESTRICTION OF OPERATIONS WITHIN THE BOUNDS OF A MEMORY BUFFER” (CWE-119). Эти слабости тесно связаны с такими известными уязвимостями, как “BUFFER OVERFLOW”.

Статистика атак в OT средах (Июль – Декабрь 2023)

1. Общий обзор статистики атак:
   • В этом разделе представлен анализ текущего ландшафта кибербезопасности в OT средах на основе анонимизированных данных телеметрии Nozomi Networks, предоставленных участвующими клиентами.
   • Статистика освещает новые тенденции безопасности OT, ландшафт угроз и устойчивость промышленных систем. Представлен детальный анализ нюансов атак в средах ICS (промышленных систем управления), что позволяет организациям лучше укреплять свои защитные меры​​.
2. Распространенные виды вредоносного ПО:
   • В домене ENTERPRISE (IT) вредоносные черви остаются очень распространенной угрозой, составляя примерно половину всех предупреждений, связанных с вредоносным ПО, идентифицированных продуктами Nozomi Networks. Характерной особенностью червей является их способность к автоматическому распространению через множество машин.
   • На втором месте находится категория TROJAN, представляющая различные типы вредоносного ПО.
   • Третье место занимает категория DUALUSE, представляющая инструменты, обычно используемые злоумышленниками​​.
3. Процентное распределение обнаруженных видов вредоносного ПО:
   • Черви (Worm): 48.87%
   • Трояны (Trojan): 40.65%
   • Инструменты двойного назначения (Dualuse): 10.34%
   • Программы-вымогатели (Ransomware): 0.08%
   • RAT (Remote Access Trojan): 0.03%
   • Эксплоиты (Exploit): 0.02%
   • Веб-шеллы (Webshell): 0.01%
   • Инструменты для взлома (Hacktool): 0.01%​​.

Этот раздел отчета Nozomi Networks подчеркивает значительные угрозы, связанные с кибербезопасностью в операционных технологиях, освещая как общие тенденции, так и конкретные виды вредоносного ПО, представляющие наибольшую угрозу в этой области.

Ландшафт IoT Ботнетов (Июль – Декабрь 2023)

1. Общий обзор угроз IoT:
   • В этом разделе рассматриваются угрозы IoT, основываясь на данных, собранных за последние шесть месяцев (с 1 июля по 21 декабря 2023 года).
   • Nozomi Networks Labs использует стратегически развернутую глобально распределенную сеть ловушек (honeypots), предназначенных для привлечения и наблюдения за злонамеренной активностью в пространстве IoT.
   • Эти ловушки, развернутые как отдельные датчики, не связаны с окружением клиентов. Они обеспечивают уникальную возможность анализировать тактику, техники и процедуры, которые используются ботнетами, помогая владельцам активов лучше защищать свои системы и быстрее обнаруживать аномалии​​.
2. Местоположения источников атак:
   • Раздел 4.1 отчета касается местоположений источников атак. К сожалению, конкретные данные по этому разделу в отчете не представлены, но они, вероятно, включают географическое распределение источников атак, идентифицированных через ловушки​​.
3. Типы полезных нагрузок и упаковщики:
   • В разделах 4.5 и 4.6 отчета обсуждаются типы полезных нагрузок, доставляемых злоумышленниками в рамках инфицирования, и методы упаковки этих нагрузок.
   • Атакующие предпочитали использовать 32-битные полезные нагрузки ARM ELF.
   • 32-битные MIPS полезные нагрузки занимают третье место, как и шесть месяцев назад. Мультиархитектурные полезные нагрузки (обычно shell-скрипты) занимают значительно большую часть всех собранных образцов​​.

Этот раздел отчета Nozomi Networks предоставляет глубокий взгляд на угрозы, связанные с IoT, включая анализ источников атак, типов полезных нагрузок и методов их упаковки. Это позволяет лучше понять, каким образом злоумышленники эксплуатируют IoT устройства и какие меры безопасности необходимо предпринять для защиты от таких атак.

Заключение

Отчет Nozomi Networks за вторую половину 2023 года подчеркивает следующие ключевые моменты:

1. Общая угроза уязвимостей:
   • Согласно данным CISA и Национальной базы данных по уязвимостям США, существуют тысячи известных уязвимостей в устройствах и системах OT/ICS (Промышленные системы управления).
2. Агрессивное исследование сетей:
   • Угрозы продолжают активно исследовать сети Enterprise/IT, OT и IoT по всему миру, при этом они увеличивают свои возможности и сложность использования тактик, техник и процедур (TTP).
3. Стратегии для минимизации рисков:
   • Для минимизации рисков и увеличения операционной устойчивости организации, работающие с критической инфраструктурой, должны приоритизировать проактивные стратегии обороны. К таким стратегиям относятся:
     • Сегментация сети
     • Обнаружение активов
     • Управление уязвимостями
     • Патчинг (внесение поправок и обновлений)
     • Логирование
     • Обнаружение конечных точек
     • Разведка угроз
4. Необходимость в актуальной разведке активов и угроз:
   • Существует растущая потребность в актуальной разведке активов и угроз, которая может быть использована различными заинтересованными сторонами внутри организации, такими как команды ИТ, сотрудники по соблюдению нормативных требований и менеджеры по рискам, которые могут иметь разные взгляды на вопросы безопасности​​.

Эти выводы подчеркивают важность понимания текущего ландшафта угроз и необходимость адаптации стратегий кибербезопасности для защиты критически важных систем и инфраструктуры в меняющемся мире киберугроз.

Author: admin